Documento sin título

SQL Injection en Intertel
Por raac (raac@email.com)

En este artículo voy a exponer algo muy sencillo, un error en una aplicación 'popular en México', al menos la compañía productora se jacta de ser la número 1 en el país, les hablo de Intertel, una sistema de administración telefónica:

"INTERTEL 6 es el conjunto de soluciones para la administración telefónica más completo, ya que cubre todas las necesidades de control del recurso telefónico de todo tipo de empresas, corporativos, hoteles y hospitales, etc." [01]

NOTA: El servidor donde se realizaron las pruebas corre Windows 2000 Server, MS SQL Server 2000, IIS 5, Intertel 4.

Intertel permite a los usuarios consultar un reporte de sus llamadas realizadas, todo esto por medio de una aplicación desarrollada con ASP. Y estos ASP's son vulnerables a la inyección de código SQL [02]. ¿Quieres incrementar el límite de tu presupuesto? ¿Quieres conocer otros códigos de autorización? ¿Quieres causar un buen dolor de cabeza en el admin? Con un poco de paciencia trabajando en SQL lo tendrás... y si te topas con que el admin tiene la configuración por default del MS SQL Server te puedes llevar gratas sorpresas...

'; exec master..xp_cmdshell 'echo Saludos Raza Mexicana, raac > C:\Inetpub\wwwroot\default.asp'--

Y si acaso el admin ya cambió el password del usuario sa de MS SQL Server puedes ir a [03] y si acaso TÚ eres el admin ve a [04] y protege tu servidor. ¿Quieres más ideas? [05] es para tí.

Comentarios finales:

Reitero que la versión en la que se hicieron las pruebas fué la 4, la versión actual de Intertel es la 6, pero estoy seguro que algunas empresas/gobierno/escuelas/etc tendrán todavía versiones viejas... y por esta misma razón decidí escribir este breve artículo. ¿Que quiénes utilizan Intertel? Te suenan los nombres de: ITESM, UNAM, PEMEX, CFE, IFE, Banamex Citigroup, Banco de México, y muchos más... [06]

Referencias:

[01] http://www.intertel.com.mx
[02] http://www.anticrack.de/modules.php?op=modload&name=News&file=article&sid=2251
[03] http://www.nextgenss.com/papers/cracking-sql-passwords.pdf
[04] http://www.nextgenss.com/papers/asp.pdf
[05] http://www.nextgenss.com/papers/more_advanced_sql_injection.pdf
[06] http://www.intersel.com.mx/paginas/usuariosactuales.asp
-- raac